• Tidak ada hasil yang ditemukan

Pengukuran dan Mitigasi Risiko

Dalam dokumen SAL SEOJK 21 - MRTI.pdf (Halaman 136-192)

BAB X PENYEDIAAN JASA TI OLEH BANK

10.3. Proses Manajemen Risiko

10.3.2. Pengukuran dan Mitigasi Risiko

b) memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan termasuk penghentian penyediaan jasa TI apabila diperlukan; dan

c) melaporkan kepada Otoritas Jasa Keuangan segera setelah Bank menghentikan penyediaan jasa TI sebelum berakhirnya jangka waktu perjanjian.

10.3. Proses Manajemen Risiko

Salinan ini sesuai dengan aslinya Direktur Hukum 1

Departemen Hukum ttd

Yuliana

terkait TI lainnya dengan menggunakan pendekatan pengukuran risiko yang sama.

Dari hasil pengukuran risiko, Bank mengetahui tingkat risiko yang dihadapi. Selanjutnya, Bank harus menetapkan strategi mitigasi risiko sesuai dengan tingkat risiko tersebut. Tindakan mitigasi risiko yang dilakukan Bank harus efektif untuk mengendalikan risiko.

Contoh mitigasi risiko dalam penyediaan jasa TI:

1. Bank harus memiliki perjanjian penyediaan jasa TI yang memadai dan memantau penyediaan jasa TI secara berkala.

2. Bank mampu mengurangi dampak kerugian apabila risiko-risiko yang diidentifikasi telah terjadi.

Ditetapkan di Jakarta pada tanggal 6 Juni 2017

KEPALA EKSEKUTIF PENGAWAS PERBANKAN OTORITAS JASA KEUANGAN,

ttd

NELSON TAMPUBOLON

LAMPIRAN II

SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 21 /SEOJK.03/2017

TENTANG

PENERAPAN MANAJEMEN RISIKO DALAM

PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM

FORMAT LAPORAN PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM

Lampiran 2.1 LAPORAN KONDISI TERKINI PENGGUNAAN TEKNOLOGI INFORMASI

Lampiran 2.2 LAPORAN RENCANA PENGEMBANGAN TEKNOLOGI INFORMASI

Lampiran 2.3 PERMOHONAN PERSETUJUAN

Lampiran 2.4 LAPORAN REALISASI TEKNOLOGI INFORMASI

Lampiran 2.5 LAPORAN INSIDENTIL MENGENAI KEJADIAN KRITIS, PENYALAHGUNAAN, DAN/ATAU KEJAHATAN DALAM PENYELENGGARAAAN TEKNOLOGI INFORMASI

Lampiran 2.6 LAPORAN HASIL AUDIT TEKNOLOGI INFORMASI

Lampiran 2.1

LAPORAN KONDISI TERKINI PENGGUNAAN TEKNOLOGI INFORMASI

Nama Bank: ...

Alamat Kantor Pusat Bank: ...

Nomor Telepon.: ...

Nama Penanggung Jawab: ...

Kantor/Divisi/Bagian Penanggung Jawab:

...

Alamat Penanggung Jawab: ...

Nomor Telepon.: ...

Tanggal Laporan : ...

PENGGUNAAN TEKNOLOGI INFORMASI

2.1.1 Visi dan Misi Bank

2.1.2 Organisasi dan Manajemen

2.1.2.1 Struktur Organisasi Bank dan Jumlah Sumber Daya Manusia Bank

2.1.2.2 Struktur Organisasi Teknologi Informasi dan Jumlah Sumber Daya Manusia Teknologi Informasi

2.1.2.3 Surat Keputusan Komite Pengarah Teknologi Informasi (Information Technology Steering Committee/ITSC) Terkini 2.1.2.4 Risalah Rapat Komite Pengarah Teknologi Informasi

(Information Technology Steering Committee/ITSC) 1 (satu) Tahun Terakhir

2.1.2.5 Dokumen Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan/ITSP) 2.1.3 Manajemen Risiko*)

2.1.3.1 Penerapan Manajemen Risiko

2.1.3.2 Struktur Organisasi Audit Intern Teknologi Informasi 2.1.3.3 Audit Teknologi Informasi 1 (satu) Tahun Terakhir 2.1.4 Kebijakan, Standar, dan Prosedur Teknologi Informasi 2.1.5 Arsitektur Aplikasi

2.1.6 Daftar Aplikasi

2.1.7 Alur Proses Pelaporan 2.1.8 Delivery Channel

2.1.9 Jaringan Komunikasi

2.1.10 Pusat Data (Data Center) dan Pusat Pemulihan Bencana (Disaster Recovery Center)

2.1.11 Pengamanan Teknologi Informasi

2.1.12 Rencana Pemulihan Bencana (Disaster Recovery Plan) 2.1.13 Penyedia Jasa Teknologi Informasi

2.1.14 Biaya Teknologi Informasi

*) Manajemen Risiko adalah manajemen risiko operasional terkait teknologi informasi yang dapat mengganggu kelancaran operasional Bank.

VISI DAN MISI BANK

Visi Bank

Misi Bank

Arah kebijakan TI yang telah dilakukan selama 1 (satu) tahun untuk mendukung visi dan misi Bank:

1. ...

2. ...

3. ...

4. ...

5. ...

ORGANISASI DAN MANAJEMEN

Nomor

Lampiran Deskripsi Keterangan

2.1.2.1 Struktur Organisasi Bank (dilampirkan)

Jumlah SDM Bank (diisi jumlah)

2.1.2.2 Struktur Organisasi TI (dilampirkan) Jumlah SDM TI

(diisi jumlah) 2.1.2.3 Surat Keputusan Komite Pengarah TI (ITSC)

Terkini (dilampirkan)

2.1.2.4 Risalah Rapat ITSC 1 (satu) Tahun Terakhir

(dilampirkan) 2.1.2.5 Dokumen Rencana Strategis TI (ITSP) (dilampirkan)

MANAJEMEN RISIKO

Nomor

Lampiran Deskripsi Keterangan

2.1.3.1 Penerapan Manajemen Risiko (dilampirkan) 2.1.3.2 Struktur Organisasi Audit TI (dilampirkan) 2.1.3.3 Audit TI 1 (satu) Tahun Terakhir (dilampirkan)

PENERAPAN MANAJEMEN RISIKO *) Kecukupan kebijakan, standar,

dan prosedur penggunaan TI

...

(Penjelasan singkat mengenai kebijakan, standar, dan prosedur penggunaan TI) Kecukupan proses identifikasi,

pengukuran, pemantauan, dan pengendalian risiko

penggunaan TI

...

(Penjelasan singkat mengenai proses identifikasi, pengukuran, pemantauan, dan pengendalian risiko penggunaan TI)

Sistem pengendalian intern atas penggunaan TI

...

(Penjelasan singkat mengenai mekanisme pengendalian risiko dan hasilnya) IT risk rating

(Low, Low-to-moderate, Moderate, Moderate-to-high, High)

...

(Nilai akhir self asessment IT risk rating)

*) Manajemen Risiko adalah manajemen risiko operasional terkait Teknologi Informasi yang dapat mengganggu kelancaran operasional Bank.

STRUKTUR ORGANISASI AUDIT INTERN TEKNOLOGI INFORMASI

(Diisi dengan gambar Struktur Organisasi Audit Intern TI;

Sebutkan jumlah SDM Satuan Kerja Audit Intern-TI)

AUDIT TEKNOLOGI INFORMASI 1 (SATU) TAHUN TERAKHIR

Periode Audit Jenis Audit Cakupan Audit

(1) (2) (3)

Keterangan :

(1) Diisi tanggal mulai dan tanggal selesai audit

(2) Diisi jenis audit: intern atau ekstern

(3) Diisi cakupan audit (contoh: Modul pinjaman core banking system)

Lampiran 2.1.4

KEBIJAKAN, STANDAR, DAN PROSEDUR TEKNOLOGI INFORMASI

No. Nomor Dokumen Judul Dokumen Deskripsi Kategori Jenis Revisi Terakhir

(1) (2) (3) (4) (5) (6) (7)

Keterangan:

(1) Diisi dengan nomor urut

(2) Diisi dengan nomor dokumen versi Bank (3) Dilengkapi dengan judul

dokumen

(4) Diisi keterangan singkat mengenai dokumen (5) Diisi dengan salah satu kategori:

301: Manajemen 306: Rencana Pemulihan Bencana

302: Pengembangan dan Pengadaan 307: Layanan Perbankan Elektronik 303: Operasional TI 308: Penggunaan Pihak Penyedia Jasa TI 304: Jaringan Komunikasi 309: Penyediaan Jasa TI oleh Bank 305: Pengamanan Informasi

(6) Diisi dengan salah satu jenis:

K = Kebijakan S = Standar P = Prosedur

(7) Diisi tanggal revisi terakhir (DD-MM-YYYY)

ARSITEKTUR APLIKASI

Arsitektur Aplikasi

(Diisi dengan gambar Arsitektur Aplikasi)

DAFTAR APLIKASI

No. Kategori

Aplikasi Nama

Aplikasi Deskripsi Fungsi

Aplikasi Platform Pangkalan Data

Lokasi

Backup Real Time

System Owner

Pengembang Aplikasi (Inhouse/Pihak

Penyedia Jasa)

Tanggal Implementasi

(Go Live)

Kepemilikan (Sewa atau Beli Putus) Pusat

Data Penyelenggara

Pusat Data DRC Penyelenggara DRC

(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15)

1 Contoh: 03 LOS Memproses

pengajuan kredit “aaa” “bbb” Jakarta Sendiri Jakarta

Medan sendiri Y xxxxx inhouse xx-xx-xxxx

Sewa 2 Contoh: 01 PN2 Core banking di

Kantor Cabang di WIT

“aaa” “ccc” Sentul Sendiri Sentul sendiri Y xxxxx inhouse xx-xx-xxxx Beli Putus

Keterangan:

(1) Diisi dengan nomor urut (3) Diisi dengan nama aplikasi (15) Diisi “Sewa” atau “Beli Putus”

(2) Diisi dengan salah satu kategori:

(4) Diisi dengan keterangan singkat mengenai fungsi aplikasi

01 : Pengelolaan nasabah (5) Diisi platform sistem operasi 02 : Dana pihak ketiga (giro,

tabungan, deposito) (6) Diisi database engine yang digunakan

03 : Perkreditan/pembiayaan (7) Diisi dengan kota dan negara lokasi Pusat Data (Data Center/DC)

04 : Buku Besar (General

Ledger/GL) (8) Diisi dengan nama perusahaan penyelenggara DC atau “sendiri” (Bank)

05 : Pembayaran (9) Diisi kota dan negara lokasi Pusat Pemulihan Bencana (Disaster Recovery Center/DRC) aplikasi 06 : Layanan Perbankan

Elektronik (10) Diisi perusahaan penyelenggara DRC atau

“sendiri” (Bank)

07 : Tresuri (11) Diisi: - “Y” Jika rekam cadang (backup) dilakukan secara realtime

08 : Pembiayaan Perdagangan

(Trade finance) - “T” Jika rekam cadang (backup) tidak dilakukan secara realtime

09 : Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme (APU dan PPT)

(12) Diisi unit bisnis yang mengelola aplikasi

10 : Manajemen sistem

informasi pelaporan (13) Diisi: - “Inhouse”, jika aplikasi dikembangkan sendiri oleh Bank

11 : Manajemen risiko - Nama Pihak Penyedia Jasa TI (PPJ TI), jika aplikasi dikembangkan oleh PPJ TI

12 : Manajemen intern (14) Diisi dengan tanggal implementasi aplikasi (DD-MM-YYYY)

ALUR PROSES PELAPORAN

No. Jenis Laporan

Aplikasi Sumber

Data Pengolahan Data

Aplikasi Pengolah Data yang Digunakan

Unit Pengolah

Data

Unit Penanggung

Jawab

(1) (2) (3) (4) (5) (6) (7)

Keterangan :

(1) Diisi dengan nomor urut

(2) Diisi nama laporan yang menjadi tujuan atau sasaran (contoh: Laporan Bulanan Bank Umum/LBU Form 01, Laporan Stabilitas Moneter dan Sistem Keuangan/LSMK, Sistem Layanan Informasi Keuangan/SLIK)

(3) Diisi nama aplikasi dari sumber data laporan (contoh: Modul CASA core banking system)

(4) Diisi: - “Manual”, jika pengolahan data menjadi laporan dilakukan secara manual - “Otomatis”, jika pengolahan data menjadi laporan dilakukan

menggunakan aplikasi

(5) Diisi nama aplikasi yang digunakan jika pengolahan data pada kolom (4) dilakukan secara otomatis

(6) Diisi unit bisnis yang melakukan pengolahan data (7) Diisi unit yang bertanggung jawab terhadap laporan

DELIVERY CHANNEL

Delivery Channel Deskripsi Jumlah

Cabang Jumlah Kantor Cabang

Jumlah Kantor Cabang Pembantu

Jumlah Kantor Kas

Jumlah Agen Layanan Keuangan

Tanpa Kantor Dalam Rangka Keuangan Inklusif (Laku Pandai)

ATM Jumlah Mesin ATM Tunai:

- Tarikan Tunai

- Setoran Tunai

- Tarikan dan Setoran Tunai

Jumlah Mesin ATM Non Tunai

EDC Jumlah Mesin EDC

Frekuensi Transaksi

Nominal Transaksi Debit per Tahun

Phone Banking Jumlah Pengguna

Frekuensi Transaksi

Nominal Transaksi Debit per Tahun

Internet Banking Jumlah Pengguna

Frekuensi Transaksi

Nominal Transaksi Debit per Tahun

Mobile Banking Jumlah Pengguna

Frekuensi Transaksi

Nominal Transaksi Debit per Tahun

Lainnya*) (Sebutkan) Jumlah Pengguna Frekuensi Transaksi

Nominal Transaksi Debit per Tahun

*) Contoh:

1. SMS Banking 2. Uang elektronik 3. Dompet elektronik

JARINGAN KOMUNIKASI

TOPOLOGI JARINGAN KOMUNIKASI

(Diisi dengan gambar Topologi Jaringan Komunikasi)

PUSAT DATA (DATA CENTER/DC)

PUSAT PEMULIHAN BENCANA (DISASTER RECOVERY CENTER/DRC) DC/DRC 1

Keterangan

Fungsi : (DC atau DRC)

Penyelenggara :

Alamat :

Luas Area DC/DRC:

Sertifikasi DC/DRC: (Hasil penilaian sesuai sertifikasi jika ada/ekuivalen berdasarkan assessment intern)

Pengendalian fisik:

(Penjelasan singkat mengenai pengendalian fisik di DC/DRC)

Pengendalian lingkungan:

- Uninterruptible Power Supply (UPS)

- Lantai yang

ditinggikan (raised floor)

- Pengaturan suhu dan kelembaban udara (AC,

termometer, dan higrometer) - Pendeteksi

asap/api/panas/

kebocoran air

- Sistem pemadaman api

- Kamera CCTV - dan lain-lain

(Penjelasan singkat mengenai pengendalian lingkungan di DC/DRC)

DC/DRC 2, 3, …

Keterangan

Fungsi : (DC atau DRC)

Penyelenggara :

Alamat :

Luas Area DC/DRC:

Sertifikasi DC/DRC: (Hasil penilaian sesuai sertifikasi jika ada/ekuivalen berdasarkan assessment intern)

Pengendalian fisik:

(Penjelasan singkat mengenai pengendalian fisik di DC/DRC)

lingkungan:

- Uninterruptible Power Supply (UPS)

- Lantai yang

ditinggikan (raised floor)

- Pengaturan suhu dan kelembaban udara (AC,

termometer, dan higrometer) - Pendeteksi

asap/api/panas/keb ocoran air

- Sistem pemadaman api

- Kamera CCTV

- dan lain-lain (Penjelasan singkat mengenai pengendalian lingkungan di DC/DRC)

PENGAMANAN TEKNOLOGI INFORMASI

No. Nama Aset Tipe Aset Deskripsi

(1) (2) (3) (4)

Keterangan :

(1) Diisi dengan nomor urut

(2) Diisi dengan nama aset untuk pengamanan TI (contoh: antivirus

“XYZ” dan firewall “ABC”)

(3) Diisi dengan jenis aset (software atau hardware)

(4) Diisi dengan keterangan singkat mengenai aset (seperti fungsi aset, jumlah lisensi, versi aset, dan lain-lain)

RENCANA PEMULIHAN BENCANA (DISASTER RECOVERY PLAN/ DRP)

Informasi Umum DRP

Jenis (Diisi dengan informasi umum mengenai jenis)

Lokasi media rekam cadang

(backup) (Diisi dengan lokasi media rekam cadang (backup)) Tanggal pengujian DRP

terakhir (Diisi waktu pengujian DRP)

Struktur Tim DRP

(Diisi dengan gambar Struktur Tim DRP) Pengujian DRP – 1

Waktu Pengujian (Diisi waktu pengujian DRP)

Daftar Aplikasi dan/atau

Infrastruktur Bank (Diisi daftar aplikasi dan/atau infrastruktur yang diuji dalam 1 (satu) tahun terakhir) Hasil Pengujian dari DRP (Diisi penjelasan singkat mengenai hasil pengujian DRP)

Pengujian DRP – 2, 3, …

Waktu Pengujian (Diisi waktu pengujian DRP)

Daftar Aplikasi dan/atau

Infrastruktur Bank (Diisi daftar aplikasi dan/atau infrastruktur yang diuji dalam 1 (satu) tahun terakhir) Hasil Pengujian dari DRP (Diisi penjelasan singkat mengenai hasil pengujian DRP)

Pelaksanaan Kaji Ulang DRP - 1

Waktu Pelaksanaan Kaji Ulang 1 (Diisi waktu kaji ulang

DRP) Waktu Pelaksanaan Kaji Ulang 2 (jika ada) (Diisi waktu kaji ulang DRP) Daftar Aplikasi dan/atau Infrastruktur Bank

(Diisi daftar aplikasi dan/atau infrastruktur yang dikaji ulang dalam 1 (satu) tahun terakhir)

Hasil Kaji Ulang (Diisi dengan hasil kaji

ulang)

Pelaksana Kaji Ulang (Diisi dengan jabatan dan

nama petugas yang melakukan kaji ulang) Tindak Lanjut Kaji Ulang

(Diisi dengan langkah- langkah yang perlu

diambil setelah pelaksanaan kaji ulang)

Pelaksanaan Kaji Ulang DRP – 2, 3, ...

Waktu Pelaksanaan Kaji Ulang 1 (Diisi waktu kaji ulang

DRP) Waktu Pelaksanaan Kaji Ulang 2 (jika ada) (Diisi waktu kaji ulang DRP) Daftar Aplikasi dan/atau Infrastruktur Bank

(Diisi daftar aplikasi dan/atau infrastruktur yang dikaji ulang dalam 1 (satu) tahun terakhir)

Hasil Kaji Ulang (Diisi dengan hasil kaji

ulang)

Pelaksana Kaji Ulang (Diisi dengan jabatan dan

nama petugas yang melakukan kaji ulang) Tindak Lanjut Kaji Ulang

(Diisi dengan langkah- langkah yang perlu

diambil setelah pelaksanaan kaji ulang)

PENYEDIA JASA TEKNOLOGI INFORMASI 13.1 Manajemen Penggunaan Pihak Penyedia Jasa TI

No. Nama Pihak Penyedia

Jasa

Alamat Pihak Penyedia

Jasa TI

Pihak

Terkait Jasa yang Diberikan

(1) (2) (3) (4) (5)

Keterangan :

(1) Diisi dengan nomor urut (2) Diisi dengan nama PPJ TI (3) Diisi dengan alamat PPJ TI

(4) Diisi: - “Y”, jika PPJ TI merupakan pihak terkait dengan Bank - “T”, jika PPJ TI bukan merupakan pihak terkait dengan

Bank

(5) Diisi dengan daftar jasa yang diberikan PPJ TI kepada Bank, dapat berupa support aplikasi maupun infrastruktur (Contoh:

maintenance server core banking system dan aplikasi pendukung

“ABC”)

13.2 Bank sebagai Pihak Penyedia Jasa TI No. Nama

Pengguna Jasa

Alamat Pengguna Jasa

TI

Pihak Terkait Jasa yang Diberikan

(1) (2) (3) (4) (5)

Keterangan :

(1) Diisi dengan nomor urut

(2) Diisi dengan nama Pengguna Jasa TI (3) Diisi dengan alamat Pengguna Jasa TI

(4) Diisi: - “Y” Jika Pengguna merupakan pihak terkait dengan Bank

- “T” Jika Pengguna bukan merupakan pihak terkait dengan Bank

(5) Diisi: - Penyelenggaraan Pusat Data (Data Center)

- Penyelenggaraan Pusat Pemulihan Bencana (Disaster Recovery Center)

- Penyediaan layanan aplikasi

- Lainnya (sepanjang diatur dalam POJK mengenai penerapan manajemen risiko dalam penggunaan teknologi informasi oleh bank umum)

BIAYA TEKNOLOGI INFORMASI

Jenis Biaya Kepada pihak

terkait *) Kepada pihak tidak terkait *) 1. Pembebanan ke laba/rugi

a. Biaya modal yang dapat dikapitalisasikan (capital expenditure/Capex) b. Biaya operasional

(operational

expenditure/Opex) 2. Pembebanan ke neraca

Keterangan:

(1.a) Diisi dengan penyusutan Capex ke laba/rugi (1.b) Diisi dengan pembebanan Opex ke laba/rugi

(2) Diisi dengan tambahan Capex tahun berjalan ke neraca

*) Biaya dalam satuan mata uang Rupiah atau satuan mata uang lain disertai dengan nilai ekuivalen dalam mata uang Rupiah

Lampiran 2.2

LAPORAN RENCANA PENGEMBANGAN TEKNOLOGI INFORMASI

No. Nama Aplikasi/

Infrastruktur Bank Deskripsi Kategori Jenis

Pengembangan Pengembang

Pihak Penyedia

Jasa TI Pihak Terkait

Lokasi

Waktu Rencana Implementasi

Estimasi Biaya

Keterangan*)

DC DRC Capex Opex

(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11)

Keterangan:

(1) Diisi dengan nomor urut

(2) Diisi dengan nama aplikasi/ infrastruktur yang akan dikembangkan, contoh: "Aplikasi X", "Relokasi Data Center", "Penambahan kapasitas bandwidth jaringan"

(3) Penjelasan detil aplikasi/infrastruktur yang akan dikembangkan (4) Kategori pengembangan, pilih salah satu:

01 : Pengelolaan nasabah 10 : Manajemen sistem informasi pelaporan 02 : Dana pihak ketiga (giro, tabungan, deposito) 11 : Manajemen risiko

03 : Perkreditan/pembiayaan 12 : Manajemen intern 04 : Buku Besar (General Ledger/GL) 49 : Aplikasi lainnya

05 : Pembayaran 51 : DC/DRC

06 : Layanan Perbankan Elektronik 52 : Server dan/atau platform

07 : Tresuri 53 : Jaringan komunikasi data

08 : Pembiayaan Perdagangan (Trade finance ) 54 : Sistem keamanan (security system)

09 : APU dan PPT 99 : Infrastruktur lainnya

(5) Diisi "baru" jika aplikasi/infrastruktur baru atau mengganti aplikasi/infrastruktur yang lama, diisi "upgrade" untuk penambahan/pengembangan terhadap aplikasi/infrastruktur yang telah ada

(6) Diisi "inhouse" jika dikembangkan oleh intern Bank atau diisi “PPJ TI” jika dikembangkan oleh pihak ekstern Bank

(7) Diisi "ya" jika PPJ TI merupakan pihak terkait Bank, "tidak" jika PPJ TI bukan merupakan pihak terkait, "-" jika pengembangan dilakukan secara inhouse atau PPJ TI belum ditetapkan

(8) Diisi informasi nama kota dan negara lokasi DC dan DRC

(9) Diisi menggunakan periode triwulan yaitu TW1/TW2/TW3/TW4

(10) Diisi estimasi Capex dan/atau Opex selama 1 (satu) tahun sejak implementasi (tidak termasuk biaya penyusutan Capex). Biaya dalam satuan mata uang Rupiah atau satuan mata uang lain disertai dengan nilai ekuivalen dalam mata uang Rupiah

(11) Diisi:

 dampak-dampak pengembangan TI, misalnya butuh penambahan SDM

 penjelasan keterkaitan pengembangan TI dengan rencana TI dalam Rencana Bisnis Bank

Catatan : Laporan Rencana Pengembangan TI ini tidak menghilangkan kewajiban Bank untuk menyampaikan laporan dan permohonan

persetujuan sebagaimana diatur dalam Pasal 24 dan Pasal 32 POJK MRTI

PERMOHONAN PERSETUJUAN

Nama Bank: ...

Alamat Kantor Pusat Bank: ...

Nomor Telepon: ...

Nama Pelapor: ...

Kantor/Divisi/Bagian Pelapor: ...

Alamat Pelapor: ...

Nomor Telepon: ...

Tanggal Laporan: ...

PERMOHONAN PERSETUJUAN

RENCANA PENYEDIAAN JASA TEKNOLOGI INFORMASI OLEH BANK

1. Jenis layanan jasa TI yang akan disediakan oleh Bank.

a. Penyelenggaraan Pusat Data.

b. Pusat Pemulihan Bencana.

c. Penyediaan layanan aplikasi.

2. Pihak penerima jasa TI.

a. Nama :

b. Alamat :

c. Deskripsi singkat usaha : d. Hubungan dengan Bank :

3. Informasi umum terkait layanan jasa TI yang akan disediakan Bank.

a. Lokasi penyelenggaraan :

Pusat Data :

Pusat Pemulihan Bencana :

b. Daftar layanan jasa aplikasi yang disediakan oleh Bank.

No Jenis Layanan Aplikasi Nama Layanan

Aplikasi Keterangan dan Tujuan Layanan

Aplikasi 1 Contoh: Laku Pandai Aplikasi “ABC”

2 Contoh: Layanan Perbankan Elektronik

Mobile Banking

3 Contoh: Layanan Perbankan Elektronik

ATM

... ... ...

... ... ...

4. Jika Bank menyediakan layanan jasa TI berupa Pusat Data dan/atau Pusat Pemulihan Bencana maka lampirkan analisis kecukupan kapasitas Pusat Data dan/atau Pusat Pemulihan Bencana Bank (contoh:

ruangan dan jaringan) untuk kebutuhan bisnis Bank pada masa

Ya Tidak

Ya Tidak

Ya Tidak

Pusat Pemulihan Bencana yang disediakan oleh Bank kepada pihak lain.

5. Lampirkan analisis biaya dan manfaat penyediaan layanan jasa TI yang dapat memperlihatkan manfaat bagi Bank melampaui biaya atas penyediaan layanan jasa TI.

6. Lampirkan analisis risiko terhadap penyediaan layanan jasa TI yang paling sedikit meliputi aspek operasional, reputasi, hukum, kepatuhan, dan strategis serta mitigasi yang harus dilakukan Bank untuk memastikan terpenuhinya kerahasiaan (confidentiality), integritas (integrity), ketersediaan (availability), dan keaslian (authenticity) terhadap penyediaan layanan jasa TI.

7. Lampirkan konsep perjanjian antara Bank dengan pengguna jasa TI sebagaimana dipersyaratkan dalam POJK MRTI.

PERMOHONAN PERSETUJUAN

RENCANA PENERBITAN LAYANAN PERBANKAN ELEKTRONIK*)

1. Sistem, prosedur, dan kewenangan dalam penerbitan Layanan Perbankan Elektronik.

2. Uraian singkat atau penjelasan mengenai Layanan Perbankan Elektronik yang akan diterbitkan.

3. Kesiapan infrastruktur TI untuk mendukung produk masing-masing Layanan Perbankan Elektronik.

4. Lampirkan penjelasan mengenai sistem arsitektur TI dari Layanan Perbankan Elektronik yang akan diterbitkan dan bentuk koneksi dengan core banking system.

5. Hasil analisis dan identifikasi risiko yang melekat pada Layanan Perbankan Elektronik dan bentuk pengendalian pengamanan untuk mitigasi risiko tersebut antara lain untuk memastikan terpenuhinya prinsip kerahasiaan (confidentiality), integritas (integrity), ketersediaan (availability), dan tidak dapat diingkari (non repudiation).

6. Penjelasan aturan yang diterapkan Bank mengenai:

a. dua faktor otentikasi (two factor authentication) yang akan digunakan;

b. enkripsi yang akan digunakan; dan

c. kata sandi (kriteria numeric alphanumeric, panjang kata sandi).

7. Uraian sistem informasi akuntansi yang akan diterapkan untuk Layanan Perbankan Elektronik yang akan diterbitkan.

8. Lampiran hasil analisis dan identifikasi risiko Layanan Perbankan Elektronik dalam bentuk identifikasi, pengukuran, pemantauan, dan mitigasi risiko dari Layanan Perbankan Elektronik yang baru diterbitkan, antara lain risiko operasional, hukum, dan reputasi.

9. Lampiran hasil pemeriksaan pihak independen yang memberikan pendapat atas karakteristik produk dan kecukupan pengamanan sistem TI terkait Layanan Perbankan Elektronik serta kepatuhan terhadap ketentuan peraturan perundang-undangan, standar yang ditetapkan, dan/atau praktik-praktik yang berlaku umum (best practices).

pengawasan yang melekat (built in control) yang akan diterapkan atas Layanan Perbankan Elektronik yang akan diterbitkan.

11. Hasil analisis bisnis mengenai proyeksi penerbitan produk baru dalam 1 (satu) tahun ke depan.

*) Permohonan persetujuan rencana penerbitan produk Layanan Perbankan Elektronik disampaikan kepada OJK paling lambat 2 (dua) bulan sebelum implementasi sebagaimana dipersyaratkan dalam POJK MRTI.

PERMOHONAN PERSETUJUAN

RENCANA PENYELENGGARAAN SISTEM ELEKTRONIK YANG DITEMPATKAN PADA PUSAT DATA (DATA CENTER) DAN/ATAU PUSAT

PEMULIHAN BENCANA (DISASTER RECOVERY CENTER) OLEH PIHAK PENYEDIA JASA DI LUAR WILAYAH INDONESIA *) 1. Rencana lokasi penyelenggaraan:

a. Pusat Data ...

b. Pusat Pemulihan Bencana ...

c. Fungsi Sistem Elektronik ...

Lampirkan data nama dan alamat serta kepemilikan penyelenggara Pusat Data dan/atau Pusat Pemulihan Bencana yang direncanakan.

2. Lampirkan ringkasan hasil pendefinisian kebutuhan dan uji tuntas (due diligence) yang telah dilakukan Bank dalam rencana penggunaan PPJ TI untuk menyelenggarakan Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah Indonesia.

3. Berkaitan dengan ringkasan uji tuntas (due diligence) pada angka 2, sertakan hal-hal di bawah ini sebagai lampiran ringkasan:

a. analisis Bank atas hasil audit TI yang dilakukan oleh pihak independen terhadap pengembangan sistem aplikasi yang ditawarkan dan sistem pengamanan pada fasilitas yang dimiliki oleh PPJ TI;

b. analisis risiko Bank mengenai rencana menyerahkan penyelenggaraan Pusat Data dan/atau Pusat Pemulihan Bencana kepada PPJ TI antara lain risiko operasional, hukum, dan reputasi serta analisis country risk; dan

c. analisis Bank mengenai kecukupan Pusat Pemulihan Bencana milik PPJ TI.

4. Lampirkan konsep perjanjian antara Bank dengan penyelenggara Pusat Data dan/atau Pusat Pemulihan Bencana di luar negeri yang memuat hal-hal sebagaimana dipersyaratkan dalam POJK MRTI.

5. Lampirkan ringkasan analisis risiko oleh PPJ TI atas penyelenggaraan Pusat Data dan/atau Pusat Pemulihan Bencana yang akan ditawarkan kepada Bank.

6. Lampirkan ringkasan analisis biaya dan manfaat penyelenggaraan TI oleh PPJ TI yang antara lain mencakup:

a. manfaat bagi Bank melampaui biaya dibebankan oleh PPJ TI kepada Bank;

digunakan dengan kebutuhan Bank;

c. analisis atas pengendalian pengamanan yang digunakan PPJ TI untuk memastikan terpenuhinya kerahasiaan (confidentiality), integritas (integrity), ketersediaan (availability), dan keaslian (authentication); dan

d. analisis kinerja, reputasi, dan kelangsungan penyediaan layanan kepada para pengguna jasa TI.

7. Lampirkan gambar arsitektur TI saat ini dan yang direncanakan setelah penyelenggaraan Pusat Data dan/atau Pusat Pemulihan Bencana diserahkan kepada PPJ TI.

8. Lampirkan rencana pengawasan yang akan dilakukan Bank atas penyelenggaraaan Pusat Data dan/atau Pusat Pemulihan Bencana yang direncanakan.

9. Lampirkan surat pernyataan dari Bank mengenai kesediaan Bank memberikan akses kepada auditor intern, ekstern maupun Otoritas Jasa Keuangan untuk memperoleh data dan informasi secara tepat waktu setiap kali dibutuhkan.

10. Dalam hal Bank merupakan kantor cabang dari bank yang berkedudukan di luar negeri atau Bank yang dimiliki lembaga keuangan asing, lampirkan:

a. Surat pernyataan dari otoritas pengawas lembaga keuangan di luar negeri bahwa PPJ TI merupakan cakupan pengawasannya;

b. Surat pernyataan tidak keberatan dari otoritas pengawas setempat jika Otoritas Jasa Keuangan hendak melakukan pemeriksaan penyelenggaraan Pusat Data dan/atau Pusat Pemulihan Bencana tersebut;

c. Surat pernyataan bahwa Bank secara berkala akan menyampaikan hasil penilaian yang dilakukan kantor Bank di luar negeri atau kantor induk Bank atas penerapan manajemen risiko pada PPJ TI. Surat pernyataan ini mencantumkan periodisasi yang direncanakan; dan

d. Hasil penilaian oleh kantor Bank di luar negeri atau kantor induk Bank atas penerapan manajemen risiko yang dilakukan oleh PPJ TI.

Dalam dokumen SAL SEOJK 21 - MRTI.pdf (Halaman 136-192)
Unduh sekarang "SAL SEOJK 21 - MRTI.pdf"

Garis besar

Dokumen terkait